Javascript: Community startet Fork für sabotiertes NPM-Paket

Eines der sabotierten NPM-Pakete wird nun als Community-Fork weitergeführt. Fragen zum Umgang mit dem Javascript-Repository bleiben jedoch.

Artikel veröffentlicht am ,
Die sabotierte NPM-Pakete erhalten eine neue Heimat dank Forks.
Die sabotierte NPM-Pakete erhalten eine neue Heimat dank Forks. (Bild: Lukas Barth/Reuters)

Das millionenfach genutzte NPM-Paket Faker ist in der vergangenen Woche von seinem Hauptentwickler Marak Squires sabotiert worden und hat nun offenbar in einem Community-Fork eine neue Heimat gefunden. Das ergibt sich zumindest aus der dazugehörigen Ankündigung des Teams, das auf seiner Webseite schreibt, dass der vorhergehende Maintainer das Paket aufgegeben hat. Weiter heißt es: "Wir verwandeln Faker jetzt in ein von der Community kontrolliertes Projekt, das derzeit von acht Ingenieuren mit unterschiedlichen Hintergründen und Unternehmen gepflegt wird."

Stellenmarkt
  1. Fullstack Developer Compliance Solutions (m/w/d)
    targens GmbH, Stuttgart
  2. Softwareentwicklerin (w/m/d) Querschnitt und Umgebungsmanagement
    Landesamt für Steuern Niedersachsen, Hannover
Detailsuche

Als Reaktion auf die Ereignisse der vergangenen Woche bildeten sich schnell mehrere Forks von Faker mit verschiedenen Intentionen und Unterstützern des Projekts. Eigenen Aussagen zufolge repräsentiere das nun vorgestellte Community-Projekt für Faker "sämtliche aktiven Forks" des ehemaligen Codes und habe diese zusammengeführt. Alle diejenigen, die ebenfalls an dem Code arbeiten, sollen sich an das Projekt wenden und sich dort einbringen, heißt es in der Ankündigung.

Das neue Team schreibt darüber hinaus, dass es in Kontakt mit der Organisation Open Collective getreten ist, das bisher die Spenden für Faker gesammelt hat. In Zusammenarbeit mit den Betreibern von Open Collective habe das neue Betreuerteam von Faker es außerdem geschafft, die Spenden auf sich zu leiten. Das heißt, wiederkehrende Spenden für Faker gehen künftig an das neue Team, nicht mehr an den ehemaligen Hauptentwickler.

Forks haben klassische Probleme

Für das Community-Projekt bleibt aber weiterhin das Problem, dass das NPM-Paket selbst in der Paketquelle noch seine alte Position belegt und dort der Fork eben nicht in dem alten Namensraum verfügbar ist. Das Projekt hat damit das übliche Problem aller Forks, dass Nutzer selbstständig auf den Fork wechseln müssen. Das gilt ebenso für das zweite sabotierte Paket Colors. Auch dessen Code wird derzeit von einem der Co-Betreuer weiter als Fork gepflegt, in den offiziellen Paketquellen zeigt sich das aber eben noch nicht.

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    11./12.07.2022, Virtuell
Weitere IT-Trainings

Offen ist hier weiterhin, ob und inwiefern Github sich als Besitzer von NPM künftig aktiv zu den Vorfällen und den Forks positioniert. Zwar hatte das Unternehmen zwischenzeitlich den Zugriff von Squires auf seine Repositorys entzogen, dies wohl aber wiederhergestellt. Mit seiner Hoheit über das NPM-Repository könnte Github einfache Verweise auf die Forks setzen und damit sämtliche bisherigen Nutzer migrieren. Das wiederum könnte aber einen ungewöhnlichen Präzedenzfall schaffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


TheUnichi 18. Jan 2022

Und das Problem löst man dadurch, dass man im Forum darüber kotzt? Oder dadurch, dass...

lunarix 17. Jan 2022

Führt hier am Thema vorbei und wurde im anderen Beitrag schon diskutiert. Er hat TROTZ...



Aktuell auf der Startseite von Golem.de
Geleaktes One Outlook ausprobiert
Wie Outlook Web, nur besser

Endlich wird das schreckliche Mail-Programm in Windows 10 und 11 ersetzt. One Outlook ist zudem mehr, als nur Outlook im Browser.
Ein Hands-on von Oliver Nickel

Geleaktes One Outlook ausprobiert: Wie Outlook Web, nur besser
Artikel
  1. Vizio: GPL-Durchsetzung darf als Verbraucherklage verhandelt werden
    Vizio
    GPL-Durchsetzung darf als Verbraucherklage verhandelt werden

    Erstmals erkennt ein US-Gericht an, dass aus der GPL auch Verbraucherrechte folgen könnten. Die Kläger bezeichnen das als "Wendepunkt".

  2. Was man aus realen Cyberattacken lernen kann
     
    Was man aus realen Cyberattacken lernen kann

    "Hätte ich das mal vorher gewusst!" Die Threat Hunter von Sophos haben ihre Erfahrungen im täglichen Kampf gegen Cyberkriminelle in einem Kompendium zusammengefasst. Jedes Kapitel enthält praxisorientierte IT-Sicherheitsempfehlungen für Unternehmen.
    Sponsored Post von Sophos

  3. App Store: Apple gestattet Abo-Preiserhöhung ohne Kundenzustimmung
    App Store
    Apple gestattet Abo-Preiserhöhung ohne Kundenzustimmung

    Wer ein Abo über eine App im App Store bucht, muss damit rechnen, dass er vor einer Preiserhöhung nicht mehr nach einer Zustimmung gefragt wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /